Der Cyber Resilience Act (CRA) stellt umfassende Anforderungen an Hersteller digitaler Produkte. Dieser Artikel gibt Ihnen eine strukturierte Übersicht über alle wesentlichen Pflichten – aufgeteilt in Produktanforderungen, Prozessanforderungen und Dokumentationspflichten. Nutzen Sie ihn als Ausgangspunkt und Checkliste für Ihre CRA-Umsetzung.
Produktsicherheitsanforderungen (Anhang I, Teil I)
Die wesentlichen Sicherheitsanforderungen definieren, was ein Produkt technisch erfüllen muss, bevor es auf dem EU-Markt vertrieben werden darf. Sie gelten für alle Produkte im CRA-Anwendungsbereich.
Risikobasierter Ansatz. Alle Sicherheitsmaßnahmen müssen auf einer Risikoanalyse basieren, die das Produkt, seine vorgesehene Verwendung und die vorhersehbare Nutzungsumgebung berücksichtigt. Die Risikoanalyse muss dokumentiert und bei wesentlichen Änderungen aktualisiert werden.
Keine bekannten ausnutzbaren Schwachstellen. Produkte dürfen nicht mit bekannten, ausnutzbaren Schwachstellen ausgeliefert werden. Das klingt selbstverständlich, bedeutet in der Praxis aber: Hersteller müssen vor jedem Release einen systematischen Schwachstellenscan durchführen und identifizierte Schwachstellen beheben.
Sichere Standardkonfiguration. Produkte müssen ab Werk sicher konfiguriert sein. Das umfasst unter anderem das Verbot identischer Standardpasswörter – jedes Gerät muss ein einzigartiges Initialpasswort haben oder den Benutzer bei der Ersteinrichtung zur Passwortvergabe auffordern. Nicht benötigte Schnittstellen und Dienste müssen standardmäßig deaktiviert sein.
Schutz vor unbefugtem Zugriff. Produkte müssen über angemessene Zugriffskontrollmechanismen verfügen. Authentifizierung, Autorisierung und Identitätsmanagement müssen dem Stand der Technik entsprechen.
Vertraulichkeit und Integrität. Gespeicherte, übertragene und verarbeitete Daten müssen gegen unbefugten Zugriff und Manipulation geschützt werden. Der CRA verlangt angemessene Verschlüsselung für die Kommunikation und sichere Speicherung kryptografischer Schlüssel.
Datenminimierung. Produkte dürfen nur die Daten erheben und verarbeiten, die für ihren bestimmungsgemäßen Gebrauch erforderlich sind. Dieses Prinzip kennen viele bereits aus der DSGVO – der CRA verankert es nun auch als Produktanforderung.
Verfügbarkeit und Resilienz. Produkte müssen so konzipiert sein, dass wesentliche Funktionen auch bei einem Cyberangriff oder einer Störung aufrechterhalten oder wiederhergestellt werden können. Denial-of-Service-Angriffe müssen abgemildert werden können.
Minimierung negativer Auswirkungen. Produkte müssen so konzipiert sein, dass sie im Falle einer Kompromittierung möglichst geringe Auswirkungen auf andere Geräte und Netzwerke haben. Die Angriffsfläche muss minimiert werden.
Update-Anforderungen
Sichere Update-Mechanismen. Jedes Produkt muss über einen Mechanismus verfügen, der Sicherheitsupdates ermöglicht. Updates müssen verschlüsselt und signiert übertragen werden, um Manipulation zu verhindern. Nach einem Update muss die aktuelle SBOM abrufbar sein.
Automatische Updates. Wo technisch möglich, sollten Updates automatisch eingespielt werden können. Der Nutzer muss die Möglichkeit haben, automatische Updates zu konfigurieren, und muss über verfügbare Sicherheitsupdates informiert werden.
Kostenlose Sicherheitsupdates. Sicherheitsupdates müssen über den gesamten Supportzeitraum kostenlos bereitgestellt werden. Der Supportzeitraum muss mindestens fünf Jahre betragen oder der erwarteten Produktlebensdauer entsprechen – je nachdem, was kürzer ist.
Detaillierte Anforderungen an Update-Mechanismen, insbesondere für Embedded Systems und IoT-Geräte, finden Sie in unseren branchenspezifischen Artikeln.
Schwachstellenmanagement-Pflichten (Anhang I, Teil II)
Der CRA verlangt von Herstellern ein systematisches Schwachstellenmanagement über den gesamten Supportzeitraum.
Identifikation und Dokumentation. Hersteller müssen Schwachstellen in ihren Produkten systematisch identifizieren und dokumentieren. Das setzt eine aktuelle SBOM und automatisierte Überwachung gegen Schwachstellendatenbanken voraus.
Zeitnahe Behebung. Erkannte Schwachstellen müssen ohne unangemessene Verzögerung behoben werden. Sicherheitsupdates sind zeitnah bereitzustellen.
Meldepflicht ab September 2026. Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden an die ENISA gemeldet werden. Eine detaillierte Meldung muss innerhalb von 72 Stunden folgen.
Koordinierte Offenlegung. Hersteller müssen eine Policy für koordinierte Schwachstellenoffenlegung veröffentlichen und einen Kontaktweg für Sicherheitsforscher bereitstellen.
Regelmäßige Tests. Produkte müssen regelmäßig auf Sicherheit getestet werden – einschließlich der Softwarekomponenten von Drittanbietern.
Dokumentationspflichten
Die technische Dokumentation ist ein zentraler Bestandteil der CRA-Compliance und muss bei einer Prüfung durch Marktüberwachungsbehörden vorgelegt werden können.
Technische Dokumentation. Diese umfasst eine allgemeine Produktbeschreibung, die Sicherheitsarchitektur, die Risikoanalyse, die angewandten harmonisierten Normen, Testergebnisse und den Nachweis, dass die wesentlichen Anforderungen erfüllt sind.
SBOM (Software Bill of Materials). Eine vollständige, maschinenlesbare Auflistung aller Softwarekomponenten im Produkt. Die SBOM muss bei jeder Produktversion aktualisiert werden. Details zur Erstellung finden Sie in unserem SBOM-Leitfaden.
EU-Konformitätserklärung. Ein formales Dokument, das die Konformität mit dem CRA bestätigt. Es muss den Herstellernamen, die Produktidentifikation und die angewendeten Normen enthalten. Mehr dazu im Artikel zur Konformitätsbewertung.
Nutzerinformationen. Hersteller müssen Nutzern klare Informationen bereitstellen: den Herstellernamen und Kontaktdaten, den Supportzeitraum und das Datum, an dem Sicherheitsupdates enden, Anweisungen für die sichere Installation und Nutzung sowie Informationen über bekannte Schwachstellen und verfügbare Updates.
Pflichten entlang der Lieferkette
Der CRA adressiert nicht nur Hersteller, sondern die gesamte Lieferkette.
Importeure müssen vor dem Import prüfen, ob das Produkt die CRA-Anforderungen erfüllt, die technische Dokumentation vorhanden ist und die CE-Kennzeichnung angebracht wurde. Sie müssen ihre Kontaktdaten auf dem Produkt oder der Verpackung angeben.
Händler müssen überprüfen, dass die CE-Kennzeichnung und die erforderlichen Begleitdokumente vorhanden sind. Sie müssen dafür sorgen, dass die Lagerbedingungen die Konformität nicht beeinträchtigen.
Für Schweizer Hersteller und andere Drittlandshersteller gelten zusätzlich die Pflicht zur Benennung eines EU-Bevollmächtigten.
Fristen und Priorisierung
Nicht alle Anforderungen greifen gleichzeitig. Die Meldepflicht für Schwachstellen gilt ab September 2026 – das sollte Ihre erste Priorität sein. Die vollständige Produktkonformität wird ab Dezember 2027 verlangt.
Für die Priorisierung empfehlen wir: Beginnen Sie mit der Risikoanalyse und der SBOM-Erstellung, bauen Sie parallel das Schwachstellenmanagement auf und arbeiten Sie dann an der technischen Dokumentation und Konformitätsbewertung.
Unsere kostenlose CRA-Reifegradanalyse gibt Ihnen einen schnellen Überblick, welche Anforderungen Sie bereits erfüllen und wo die größten Lücken bestehen. In wenigen Minuten haben Sie einen konkreten Fahrplan für Ihre CRA-Umsetzung.